多級(jí)分布計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)

陳鵬

（杭州師范大學(xué)錢江學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)，浙江 杭州 310012）

1 引言

隨著信息技術(shù)的廣泛運(yùn)用，計(jì)算機(jī)網(wǎng)絡(luò)在本單位日常辦公、訓(xùn)練和管理中的地位和作用日益突出，確保計(jì)算機(jī)網(wǎng)絡(luò)安全、保密、高效、穩(wěn)定運(yùn)行顯得尤為重要。分析和研究多級(jí)計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)對(duì)搞好計(jì)算機(jī)網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)管理水平有著重要的意義。

2 網(wǎng)絡(luò)管理的功能與SNMP

2.1 網(wǎng)絡(luò)管理的功能

網(wǎng)絡(luò)管理技術(shù)是伴隨著計(jì)算機(jī)、網(wǎng)絡(luò)及通信技術(shù)的發(fā)展而發(fā)展的。它是指對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)和控制，并能提供有效、可靠、安全、經(jīng)濟(jì)的服務(wù)。網(wǎng)絡(luò)管理應(yīng)完成兩個(gè)任務(wù)，一是對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行檢測(cè)，二是對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行合理分配。其目標(biāo)就是滿足運(yùn)營(yíng)者和用戶對(duì)網(wǎng)絡(luò)的有效性、可靠性、開放性、綜合性、安全性和經(jīng)濟(jì)性的要求。網(wǎng)絡(luò)管理(Network Management)的功能可概括為 OAM&P：網(wǎng)絡(luò)的運(yùn)行(Operation)、處理(Administration)、維護(hù)(Maintenance)、服務(wù)提供(Provisioning)等所需要的各種活動(dòng)。有時(shí)也只考慮前三種，即把網(wǎng)絡(luò)管理的功能歸結(jié)為 OAM。實(shí)際上，網(wǎng)絡(luò)管理的范圍還可擴(kuò)大到網(wǎng)絡(luò)中通信活動(dòng)與資源的規(guī)劃和組織。因?yàn)槿绻硞€(gè)網(wǎng)絡(luò)不能很好地規(guī)劃和組織，那就根本談不上對(duì)它的監(jiān)測(cè)、計(jì)費(fèi)和控制。

2.2 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP

SNMP 最重要的指導(dǎo)思想就是要盡可能簡(jiǎn)單，以便縮短研制周期。SNMP 的基本功能包括監(jiān)視網(wǎng)絡(luò)性能、檢測(cè)分析網(wǎng)絡(luò)差錯(cuò)和配置網(wǎng)絡(luò)設(shè)備等。在網(wǎng)絡(luò)正常工作時(shí)，SNMP 可實(shí)現(xiàn)統(tǒng)計(jì)、配置和測(cè)試等功能。當(dāng)網(wǎng)絡(luò)出故障時(shí)，可實(shí)現(xiàn)各種差錯(cuò)檢測(cè)和恢復(fù)功能，雖然 SNMP 是在TCP/IP 基礎(chǔ)上的網(wǎng)絡(luò)管理協(xié)議，但也可擴(kuò)展到其他類型的網(wǎng)絡(luò)設(shè)備上。

SNMP 整個(gè)系統(tǒng)必須有一個(gè)管理站(Management Station),它實(shí)際上就是網(wǎng)控中心。在管理站上運(yùn)行管理進(jìn)程。在每一個(gè)被管對(duì)象中一定要有代理進(jìn)程。管理進(jìn)程和代理進(jìn)程利用SNMP 報(bào)文進(jìn)行通信，而 SNMP 報(bào)文又使用UDP 來傳送。有時(shí)網(wǎng)絡(luò)管理協(xié)議無法控制某些網(wǎng)絡(luò)元素。例如，該網(wǎng)絡(luò)元素使用的是另一種網(wǎng)絡(luò)管理協(xié)議。這時(shí)可使用委托代理(proxy agent)。委托代理能提供如協(xié)議轉(zhuǎn)換和過濾操作的匯集功能。然后通過委托代理來對(duì)被管對(duì)象進(jìn)行管理。SNMP 的網(wǎng)絡(luò)管理由三個(gè)部分組成，即管理信息庫 MIB，管理信息結(jié)構(gòu) SMI 以及 SNMP本身。下面先介紹管理信息庫。

3 分布式網(wǎng)絡(luò)管理的設(shè)計(jì)

分布式網(wǎng)絡(luò)管理系統(tǒng)采用樹型結(jié)構(gòu)，除最上面的管理站(根節(jié)點(diǎn))以外，每個(gè)管理站有且只有一個(gè)上級(jí)管理站；每個(gè)管理站可有 0 個(gè)或多個(gè)下級(jí)管理站，沒有下級(jí)管理站的節(jié)點(diǎn)稱為葉節(jié)點(diǎn)。每個(gè)管理站負(fù)責(zé)管理本級(jí)和下級(jí)網(wǎng)絡(luò)(0個(gè)或多個(gè))，能夠獲得管轄范圍內(nèi)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、所有設(shè)備的狀態(tài)和統(tǒng)計(jì)數(shù)據(jù)；上下級(jí)管理站之間通過網(wǎng)絡(luò)交換必要的信息。

3.1 分布式配置

每個(gè) MANAGER 增加一個(gè)分布式配置文件，配置網(wǎng)絡(luò)級(jí)別和管理角色，以及分布式管理策略。① 角色配置：上級(jí)：管理站的名稱和 IP地址。本級(jí)：管理站的名稱和 IP 地址、1 個(gè)或多個(gè)本級(jí)子網(wǎng)的網(wǎng)絡(luò) ID 和掩碼。下級(jí)(0 個(gè)或多個(gè))：管理站的名稱和 IP 地址、1 個(gè)或多個(gè)本級(jí)子網(wǎng)的網(wǎng)絡(luò) ID 和掩碼。② 管理策略配置：可以配置針對(duì)所有下級(jí)網(wǎng)絡(luò)的統(tǒng)一的策略，也可以對(duì)不同的下級(jí)網(wǎng)絡(luò)配置不同的管理策略。具體包括：下級(jí)獨(dú)立配置的端口的性能數(shù)據(jù)是否上傳？下級(jí)節(jié)點(diǎn)的系統(tǒng)軟硬件信息是否上傳？下級(jí)網(wǎng)絡(luò)的系統(tǒng)信息變化事件是否上傳？下級(jí)網(wǎng)絡(luò)的性能閾值事件是否上傳？

5)下級(jí)網(wǎng)絡(luò)的IP 綁定事件是否上傳。

3.2 上下級(jí)通信

①TCP 連接的建立和維護(hù)。由于上下級(jí)網(wǎng)管平臺(tái)之間是廣域網(wǎng)連接并且通信的數(shù)據(jù)量較大，所以上下級(jí)網(wǎng)管平臺(tái)之間采用 TCP 進(jìn)行通信。為了保證實(shí)現(xiàn)的簡(jiǎn)單性，上下級(jí)網(wǎng)管平臺(tái)之間始終保持一條 TCP 連接。上級(jí)網(wǎng)管平臺(tái)啟動(dòng)后，打開預(yù)先設(shè)定的 TCP 監(jiān)聽端口。如果上下級(jí)之間的 TCP 連接尚未建立或者因?yàn)槟撤N原因而中斷的話，下級(jí)網(wǎng)管平臺(tái)每隔 5 分鐘自動(dòng)嘗試與上級(jí)網(wǎng)管平臺(tái)建立連接；下級(jí)管理人員也可以通過分布式菜單項(xiàng)主動(dòng)與上級(jí)網(wǎng)管平臺(tái)建立通信連接。②發(fā)送消息。在數(shù)據(jù)庫中創(chuàng)建一個(gè)發(fā)送消息緩沖表，各個(gè)模塊要發(fā)送數(shù)據(jù)時(shí)將數(shù)據(jù)打包成XML 字符串的形式，加入到發(fā)送消息緩沖表中。通信模塊的發(fā)送線程定期輪詢發(fā)送消息緩沖表，一旦發(fā)現(xiàn)待發(fā)送的記錄，則嘗試發(fā)送。若收到接收方的確認(rèn)消息，則在發(fā)送消息緩沖表中刪除相應(yīng)記錄。③接收消息。在數(shù)據(jù)庫中創(chuàng)建一個(gè)接收消息緩沖表，通信模塊的接收線程成功地收到一條消息后，就將消息添加到接收消息緩沖表中，同時(shí)給發(fā)送方返回一條確認(rèn)消息。通信模塊的消息處理線程定期輪詢接收消息緩沖表，若發(fā)現(xiàn)存在記錄，則將該記錄讀出來。解析其中的XML 字符串，根據(jù)不同的消息類型進(jìn)行相應(yīng)的處理。

4 相關(guān)技術(shù)難點(diǎn)與措施

4.1 非法主機(jī)問題與解決方法

①為了加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的集中管理和統(tǒng)一規(guī)劃，防止一些單位或個(gè)人未經(jīng)請(qǐng)示擅自將計(jì)算機(jī)接入網(wǎng)絡(luò)或隨意修改系統(tǒng)配置。難點(diǎn)在于接入時(shí)間和接入位置的不確定性。②某本單位的光傳送網(wǎng)主要采取軍民合建的方式 (與此類似其他單位的網(wǎng)絡(luò)傳輸信道多數(shù)是租用電信運(yùn)營(yíng)商的)，主干傳輸線路委托地方公司維護(hù)管理，對(duì)這些線路的安全管理是一個(gè)難點(diǎn)，為了防止一些不法分子利用中轉(zhuǎn)站入侵我軍用 (單位專網(wǎng))網(wǎng)絡(luò)，系統(tǒng)必須具有入侵預(yù)警和強(qiáng)行關(guān)閉功能。③對(duì)外撥號(hào)預(yù)警功能。要求對(duì)全網(wǎng)任何用戶利用上軍網(wǎng)的計(jì)算機(jī)終端以撥號(hào)上網(wǎng)方式連接到地方網(wǎng)或國際互連網(wǎng)(因特網(wǎng))的情況進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)有撥號(hào)上網(wǎng)，系統(tǒng)將進(jìn)行告警并強(qiáng)行關(guān)閉端口。難點(diǎn)在于發(fā)現(xiàn)的及時(shí)性以及實(shí)現(xiàn)控制掛斷功能。對(duì)于一些保密規(guī)格較高的專用網(wǎng)絡(luò)同樣有此需求。

解決方法：①使用 IP 地址綁定工具錄入網(wǎng)絡(luò)中所有合法設(shè)備的 IP 地址及其 MAC 地址，IP 地址綁定工具定期掃描網(wǎng)絡(luò)中出現(xiàn)的所有 IP 地址及其MAC 地址，并將掃描到的 IP地址與 MAC 地址的對(duì)應(yīng)關(guān)系與系統(tǒng)事先保存的合法對(duì)應(yīng)關(guān)系相比較以發(fā)現(xiàn)可能出現(xiàn)的非法IP 地址以及盜用合法 IP 地址的現(xiàn)象 (見圖5.1)。②使用物理拓?fù)浒l(fā)現(xiàn)工具找到非法 IP 地址在網(wǎng)絡(luò)中的接入位置。③通過關(guān)閉非法 IP地址所接入的交換機(jī)端口以阻止該 IP 地址的上網(wǎng)行為(需要交換機(jī)支持)；或者直接向該 IP地址的設(shè)備發(fā)送干擾報(bào)文使得該設(shè)備無法進(jìn)行網(wǎng)絡(luò)操作。④在每個(gè)主機(jī)上安裝系統(tǒng)代理，系統(tǒng)代理監(jiān)視用戶的撥號(hào)上網(wǎng)行為。一旦發(fā)現(xiàn)有撥號(hào)上網(wǎng)則立即報(bào)警并同時(shí)掛斷撥號(hào)連接，保證廣域網(wǎng)的終端不能通過撥號(hào)上網(wǎng)方式連接地方網(wǎng)或互連網(wǎng)。

4.2 無人值守

通信網(wǎng)絡(luò)需要保證每周 7 天、每天 24小時(shí)不間斷的正常運(yùn)行，一旦出現(xiàn)異常情況，管理人員必須立刻予以解決。但是某本單位系統(tǒng)同時(shí)又存在網(wǎng)絡(luò)管理人員少、值勤任務(wù)重的情況。因此要求開發(fā)無人值守功能，難點(diǎn)在于開發(fā)與手機(jī)短信平臺(tái)的通信程序。解決方法：① 開發(fā)了串口通信程序，通過在串口上接入 GSM Modem 或手機(jī)向短信平臺(tái)發(fā)送短信。網(wǎng)管人員不需要值班，當(dāng)網(wǎng)絡(luò)出現(xiàn)異常情況時(shí)，網(wǎng)管中心將現(xiàn)場(chǎng)信息發(fā)送到指定管理員的手機(jī)上，使網(wǎng)管人員通過手機(jī)短信遠(yuǎn)程了解網(wǎng)絡(luò)的運(yùn)行情況。② 開發(fā)了基于 Web 的管理工具，網(wǎng)管人員可以遠(yuǎn)程通過互連網(wǎng)掌握網(wǎng)絡(luò)的運(yùn)行情況。

4.3 遠(yuǎn)程關(guān)閉端口

當(dāng)網(wǎng)絡(luò)中發(fā)現(xiàn)有非法計(jì)算機(jī)接入網(wǎng)絡(luò)或發(fā)現(xiàn)異常情況時(shí),網(wǎng)管中心可以封閉這些計(jì)算機(jī)所在的交換機(jī)端口,使其不能連入網(wǎng)絡(luò)。難點(diǎn)在于有些交換機(jī)不支持關(guān)閉端口的功能，還有的交換機(jī)端口通過集線器連接了不止一個(gè)設(shè)備。

解決方法：① 首先通過物理拓?fù)浒l(fā)現(xiàn)工具找到非法用戶接入網(wǎng)絡(luò)的位置，然后通過修改交換機(jī) MIB 變量的方式嘗試關(guān)閉相應(yīng)交換機(jī)的端口。② 對(duì)于不支持關(guān)閉端口功能的交換機(jī)或者交換機(jī)的端口通過集線器連接了多個(gè)設(shè)備，關(guān)閉端口會(huì)影響其他正常設(shè)備的情況，通過定期發(fā)送干擾 ARP 報(bào)文，使得非法用戶不斷收到 IP 地址沖突的消息，沒法進(jìn)行網(wǎng)絡(luò)操作。

[1]張滬寅等著.計(jì)算機(jī)網(wǎng)絡(luò)管理實(shí)用教程.武漢大學(xué)出版社,2005

[2]周曉芬.基于 SNMP 的管理信息庫(MIB)的研究.科技廣場(chǎng).20075

[3]陳桂漢等著.綜合電信管理解決方案.電子工業(yè)出版社,2002